Melko todennäköistä, että 40000 ihmisestä löytyisi vähintään yksi, joka olisi valmis omin kätösin tappamaan tämän kiristäjän.
Verkkolehden uusimmat jutut
-
Pitkästä loukkaantumisestaan toipunut Aleksi Sinkkonen iloitsee paluustaan kaukaloihin: “Olen nauttinut jokaisesta sekunnista”Lue lisää »
-
HIFK teki erikoisen osuman Auroraliigassa − kiekko ei käynyt maalissa, Ilves-hyökkääjälle rangaistusLue lisää »
-
Uransa kautta pelaava Eetu Päkkilä lauantain murskavoitosta: "Tästä kun ottaa mallia, niin eiköhän hyvä tule"Lue lisää »
-
Ennätystehtailu sai odottaa, kun Sport kaatoi LukonLue lisää »
-
HPK kiri voittoon jatkoajalla — Kiekko-Espoo suli kolmen maalin johtoasemastaLue lisää »
-
Liiga-kierros: TPS murskasi SaiPan, KalPa ja Kärpät mättivät maaleja KuopiossaLue lisää »
Vastaamon tietomurto
- Viestiketjun aloittaja finnjewel
- Alkaa
- 79 390
- 410
Melko todennäköistä, että 40000 ihmisestä löytyisi vähintään yksi, joka olisi valmis omin kätösin tappamaan tämän kiristäjän.
Toivottavasti kukaan ei tosiaan haksahdu maksamaan noille kiristäjille mitään. Tiedot voi olla tallennettuna jo, vaikka kuinka monella ihmisellä ja lunnaiden maksaminen kiristäjälle ei takaa mitään mistään, kun hän ei takuulla ole enää ainut kenellä noita tietoja on.
Mun mielestä aika huono kiristysyritys. Tuohon kun ei ole mitään järkeä suostua, koska ei ole mitään takeita, että kiristäjä pitää sanansa. Ja voi kiristää taas uudestaan kuukauden päästä.
Parempi tyyli oli taannoin garminin palvelimille iskenyt hakkeri, joka laittoi kaikkien asiakkaiden tiedot lukkojen taakse. Ja mitään softia ei pystynyt käyttämään. Lunnaat maksamalla tiedot vapautuivat ja softaa pystyi taas käyttämään. Tällainen panttivankityyppinen toimii paljon paremmin kun siinä on lunnaiden maksajalla edes mahdollisuus rahalla selvitä asiasta.
Tällaisessa ”jos et maksa niin kerron”-tyyppisessä asiassa ei nyt lähtökohtaisesti liene mitään järkeä edes miettiä maksamista. Kun melkein tietää, että joskus asia nousee uudelleen esiin.
Parempi tyyli oli taannoin garminin palvelimille iskenyt hakkeri, joka laittoi kaikkien asiakkaiden tiedot lukkojen taakse. Ja mitään softia ei pystynyt käyttämään. Lunnaat maksamalla tiedot vapautuivat ja softaa pystyi taas käyttämään. Tällainen panttivankityyppinen toimii paljon paremmin kun siinä on lunnaiden maksajalla edes mahdollisuus rahalla selvitä asiasta.
Tällaisessa ”jos et maksa niin kerron”-tyyppisessä asiassa ei nyt lähtökohtaisesti liene mitään järkeä edes miettiä maksamista. Kun melkein tietää, että joskus asia nousee uudelleen esiin.
oletussalasana. Sen käyttäminen on itkettävä vitsi. Sama kuin salasanana olisi "salasana".
Lisäyksenä, että Unix ja Linux
järjestelmissä root on pääkäyttäjä, eli voi tehdä palvelimella mitä haluaa. Hyvin ylläpidetyissä järjestelmissä on estetty root käyttäjänä sisäänkirjautuminen.
Tällaisesta välinpitämättömyydestä pitäisi rangaista. Näin arkojen tietojen säilyttäminen tällä tavalla on anteeksiantamatonta.
Ja taitaapi olla nuo Vastaamon softat isolta osin tämän, suht hiljattain rahakkaan ”osa-exitin” tehneen, perustajatoimarin käsialaa ja vastuulla, mikäli varsin luotettavana pitämästäni lähteestä saamani tiedot pitää kutinsa. Oli miten oli, pakko tästä casesta on tulla isoja seuraamuksia sekä Vastaamon silmäätekeville että etenkin itse tietomurtajalle, jahka aikanaan jää kiinni.
Tässä on nyt valtavasti valitettavia asioita, ensimmäiseksi tulee uhrien tuska mieleen - valitettavasti tästä seurannee paljon surullisia kohtaloita.
Toiseksi tämä lienee pelottaa tuhansia ihmisiä hakemasta apua asioihin, joihin on muutenkin iso kynnys hakea apua. Ja jälleen luodaan lisää surullisia kohtaloita.
Sitten on tämä Vastaamo. Itsellä LinkedIn on täynnä uhrien viestejä, mutta Vastaamo loistaa poissaolollaan. Firma ei selvästi tiedä miten reagoida, eikä osaa tai kehtaa edes pahoitella kunnolla. Nyt on osunut sellainen paska tuulettimeen, että piiloon ei pitäisi varsinkaan tämän alan yrityksen mennä. Ja miten on helvetti mahdollista, että he eivät ole huomanneet mitään ja tiedä mitä on tarkalleen vuotanut - saatanan amatöörit. Jos kerrottu 1800€ on korvaus per uhri, niin se on sitten kevyt 72M€, jota tuo paskafirma ei kykene koskaan maksamaan.
Ja viimeisimpänä tämä alhainen kiristysporukka. Menee murhamiesten ja raiskareiden kanssa alimmalle tasolle. Arvoton ja moraaliton porukka, jonka yli kaiken toivoisi jäävän kiinni, mutta valitettavasti tähän on vain pieni mahdollisuus.
Terveisiä myös kaikille tor-verkkoa ja bitcoinia ihannoiville. Sijaa kritiikille tulee olla myös näillä sektoreilla. Kiitosta taas Suomen ”hyvis-hakkereille”, jotka ovat lähteneet tekijöiden perään, uskottavampi uhka kuin viranomainen, joka on ilmeisesti jo syyskuusta asti yrittänyt selvittää tekijöitä - ainakin tällöin Vastaamoa oli kiristetty ensimmäistä kertaa.
Valtion tulisi välittömällä aikataululla keventää hetun vaihtamisen perusteita ja palveluntuottajien lisätä pankkitunnusten edellytystä toiminnallisuuksiinsa.
Ja erityisesti: jaksamista kaikille joita vuoto koskee.
Toiseksi tämä lienee pelottaa tuhansia ihmisiä hakemasta apua asioihin, joihin on muutenkin iso kynnys hakea apua. Ja jälleen luodaan lisää surullisia kohtaloita.
Sitten on tämä Vastaamo. Itsellä LinkedIn on täynnä uhrien viestejä, mutta Vastaamo loistaa poissaolollaan. Firma ei selvästi tiedä miten reagoida, eikä osaa tai kehtaa edes pahoitella kunnolla. Nyt on osunut sellainen paska tuulettimeen, että piiloon ei pitäisi varsinkaan tämän alan yrityksen mennä. Ja miten on helvetti mahdollista, että he eivät ole huomanneet mitään ja tiedä mitä on tarkalleen vuotanut - saatanan amatöörit. Jos kerrottu 1800€ on korvaus per uhri, niin se on sitten kevyt 72M€, jota tuo paskafirma ei kykene koskaan maksamaan.
Ja viimeisimpänä tämä alhainen kiristysporukka. Menee murhamiesten ja raiskareiden kanssa alimmalle tasolle. Arvoton ja moraaliton porukka, jonka yli kaiken toivoisi jäävän kiinni, mutta valitettavasti tähän on vain pieni mahdollisuus.
Terveisiä myös kaikille tor-verkkoa ja bitcoinia ihannoiville. Sijaa kritiikille tulee olla myös näillä sektoreilla. Kiitosta taas Suomen ”hyvis-hakkereille”, jotka ovat lähteneet tekijöiden perään, uskottavampi uhka kuin viranomainen, joka on ilmeisesti jo syyskuusta asti yrittänyt selvittää tekijöitä - ainakin tällöin Vastaamoa oli kiristetty ensimmäistä kertaa.
Valtion tulisi välittömällä aikataululla keventää hetun vaihtamisen perusteita ja palveluntuottajien lisätä pankkitunnusten edellytystä toiminnallisuuksiinsa.
Ja erityisesti: jaksamista kaikille joita vuoto koskee.
Vastaamon perustajat saivat viime vuonna miljoonapotin - vuoden 2020 tärkeiden asioiden listalla oli "IT kotipesä kuntoon" (IL)
Murtoja ilmeisesti tehty ainakin kaksi (tai kuka tietää montako) ja todellakin ihan itse tehty järjestelmä. Onko sitten ihan tahallista väliinpitämättömyyttä vai ymmärrys asioista vain loppunut kesken ja vedetty hirveällä itseluottamuksella ja ymmärtämättömyyden harhassa. Mitäpä muuta voi odottaa, kun kehittäjä ja toimitusjohtaja ovat sama henkilö.
Kaiken huippu että mm. Keva ja Valtion eläkerahasto on sijoittanut tuohon paskaan yhteensä 70 miljoonaa. Saapa nähdä mitä tästä paljastuu vielä, jotenkin sellainen olo että tämä kaikki ei vielä ole tässä. Hirveät massit tehty 2019 myymällä, tietomurto 2018 ja nyt kiristys 2020 parin vuoden jälkeen. Nojoo...
Sanomattomaksi vetää ja kaikesta tästä perseilystä kärsii eniten apua hakenut ihminen.
EDIT. Tälläinen yritys on vastaamo (IS)
Murtoja ilmeisesti tehty ainakin kaksi (tai kuka tietää montako) ja todellakin ihan itse tehty järjestelmä. Onko sitten ihan tahallista väliinpitämättömyyttä vai ymmärrys asioista vain loppunut kesken ja vedetty hirveällä itseluottamuksella ja ymmärtämättömyyden harhassa. Mitäpä muuta voi odottaa, kun kehittäjä ja toimitusjohtaja ovat sama henkilö.
Kaiken huippu että mm. Keva ja Valtion eläkerahasto on sijoittanut tuohon paskaan yhteensä 70 miljoonaa. Saapa nähdä mitä tästä paljastuu vielä, jotenkin sellainen olo että tämä kaikki ei vielä ole tässä. Hirveät massit tehty 2019 myymällä, tietomurto 2018 ja nyt kiristys 2020 parin vuoden jälkeen. Nojoo...
Sanomattomaksi vetää ja kaikesta tästä perseilystä kärsii eniten apua hakenut ihminen.
EDIT. Tälläinen yritys on vastaamo (IS)
Viimeksi muokattu:
Ei löydy enää, tähän tuli lakimuutos joitain vuosia sitten, enää löytyy syntymäaika julkisista rekistereistä.
Hangon keksi
Jäsen
- Suosikkijoukkue
- Länsi-Saksan ja Neuvostoliiton joukkueet
Reilun viikon päästä tiistaina tulee vuoden 2019 verotiedot julkisiksi. Tämä on vähän kuin lottovoitto joillekin suurituloisille joita tuo julkisuus ärsyttää, kun sopivasti median ja kansalaisten mielenkiinto on aika paljon Vastaamon porukan tuloissa.
Koko keissi on varsinkin Vastaamon osalta vastenmielinen, potilasdataa on pidetty netin kautta saatavilla salaamattomana, sisältäen potilaskertomukset, Hetut ja muun yksilöivän datan ilmeisesti kaikki käytännössä samassa kannassa, jolloin pienellä vaivalla on saatu ilman mitään työtä jättipotti.
Ei oltu tehty ainuttakaan siirtoa sen eteen, etteivät tiedot olisi ulkopuolisten hyväksikäytettävissä sekä ilmeisesti myös sisäisesti tietojen katselun lokiin kirjaamista ei ole ollut.
Nyt nähdään halutaanko Suomessa käyttää GDPR-sanktiointia kunnolla (tähän mennessä isoin sakko Postille 100k€, maailmalla Marriot pääsi maksamaan reilu 100milj€, Vastaamon osalta teoreettinen maksimi on 20milj€) sekä miten tässä vahingonkorvaukset massatapauksissa menevät.
Itsekin sain tuolta kiristysviestin, toki mitään tietoja ei hetun ja muiden henkilötietojen lisäksi tuolla ole, koska asiakkuus jäi siihen, että varasin taannoin yhden käyntikerran jonka peruutin.
Toki pistin piruuttani vapaamuotoisen korvaushakemuksen yhtiöön, koska vittu et sä nyt voi toimia noin näin sensitiivisen datan suhteen.
Ei oltu tehty ainuttakaan siirtoa sen eteen, etteivät tiedot olisi ulkopuolisten hyväksikäytettävissä sekä ilmeisesti myös sisäisesti tietojen katselun lokiin kirjaamista ei ole ollut.
Nyt nähdään halutaanko Suomessa käyttää GDPR-sanktiointia kunnolla (tähän mennessä isoin sakko Postille 100k€, maailmalla Marriot pääsi maksamaan reilu 100milj€, Vastaamon osalta teoreettinen maksimi on 20milj€) sekä miten tässä vahingonkorvaukset massatapauksissa menevät.
Itsekin sain tuolta kiristysviestin, toki mitään tietoja ei hetun ja muiden henkilötietojen lisäksi tuolla ole, koska asiakkuus jäi siihen, että varasin taannoin yhden käyntikerran jonka peruutin.
Toki pistin piruuttani vapaamuotoisen korvaushakemuksen yhtiöön, koska vittu et sä nyt voi toimia noin näin sensitiivisen datan suhteen.
Viimeksi muokattu:
En oikein muusta tiedä kun että osuupa vielä aika pahaan aikaan kun nyt koronan takia ehkä kaikista eniten erilaista apua ihmiset ja nyt voi luottamus mennä pitkäksi aikaa.
Ylipäätäntä varmaan tämäkin tietomurto varmaan pistää miettimään että pitäisikö valtiotasolla keskittyä enemmän tietoturvaan ehkä osittain asevoimienkin kustannuksella. Juuri nyt sanoisin että isompi riski hyökkäyksiin saattaisi olla verkossa.
Ylipäätäntä varmaan tämäkin tietomurto varmaan pistää miettimään että pitäisikö valtiotasolla keskittyä enemmän tietoturvaan ehkä osittain asevoimienkin kustannuksella. Juuri nyt sanoisin että isompi riski hyökkäyksiin saattaisi olla verkossa.
I am not Jesus
Jäsen
Nyt eduskunnan pitäisi nopeasti säätää lakeja niin, että tietomurron kohteeksi joutuneet saisivat aina vaihdettua hetunsa, jos sitä haluavat. Myös ilman, että niillä tehdään jotain rikollista, sillä pikavippien otot ja ostokset yms. voivat alkaa myös vasta vuosien kuluttua.
Meikäläinen työssäni valtiolla vastaan järjestelmästä, jossa ei ole arkaluonteisia henkilötietoja, mutta eräänlaisia kevyisiin liikesalaisuuksiin verrattavia tietoja. Meikän softaa on auditoitu ja hakkeroitu (valkokaulushakkereiden toimesta) useita kertoja, jotta tietoturva on saatu varmasti riittävälle tasolle. Onhan se nyt absurdia, että kaikista arkaluonteisimpia henkilötietoja saadaan hallinnoida ihan miten halutaan, mutta oikeasti todella lievien valtion salaisuuksien kohdalla käytetään jättimäisiä summia rahaa tietoturvaan.
Eiköhän tässäkin tapauksessa tämä ongelma ole ollut tiedossa Valvirassa ja STM:ssä, mutta asia ei ole ketään kiinnostanut, paitsi nyt kun paskat on housuissa. Toivottavasti syylliset kaivetaan esille hakkereiden, yrityksen johdon, virkamiesten ja poliitikkojen puolelta.
Todella todella valitettava tilanne niille joiden tiedot on hakkeroitu. En pysty edes asettautumaan tuohon asemaan. Tsemppiä kaikille.
Eiköhän tässäkin tapauksessa tämä ongelma ole ollut tiedossa Valvirassa ja STM:ssä, mutta asia ei ole ketään kiinnostanut, paitsi nyt kun paskat on housuissa. Toivottavasti syylliset kaivetaan esille hakkereiden, yrityksen johdon, virkamiesten ja poliitikkojen puolelta.
Todella todella valitettava tilanne niille joiden tiedot on hakkeroitu. En pysty edes asettautumaan tuohon asemaan. Tsemppiä kaikille.
Viimeksi muokattu:
AlapaanKarvaaja
Jäsen
Olen varmaan ainoa, mutta kyllä minua käy sääliksi myös Vastaamon IT-jamppa/jampat, joka on tuon tunkeutumisen on ehkä saattanut helpottaa teknisillä ratkaisuilla ja väliinpitämättömyydellä. Joku lakisääteinen hommahan tuohon on saatava, että potilastietokannat vaikka tarkistettaisiin jopa puolivuosittain niin, että tietoturvan taso selvitetään.
UnenNukkuja
Jäsen
- Suosikkijoukkue
- Aika moni, kunhan on turkulainen
Tätä samaa mietin kesällä, kun makoilin päivystyksessä erään kuuluisan urheilijamme kanssa samaan aikaan. Vain verho oli välissä, joten kaiken puheen kuuli kyllä, hetunkin. Tuossa tilanteessa ei olisi tarvinut syntymäaikaa mieleen painaa, senhän löytää urheilijan kohdalla googlettamalla.
Olen ajatellut, että poliisin ja tiedustelupalveluiden intressi on ollut pitää yllä tietoa, että tor-verkko vai mikä perkeleen deepweb onkaan, on murtamaton. Eli siis pystyisivät sen kuitenkin sitten murtamaan kun riittävän vakava rikos tulee tai sellaista suunnitellaan. Siis ei mitään tavallista huumekauppaa. Tämä on niin totaalisen moraaliton tapaus, että tekijä pitäisi saada kiinni hinnalla millä hyvänsä.
Nyt on kyllä populismia aidoimmillaan. Tollanen hetun vaihtoprojekti ensinnäkin lainsäädännöllisesti, puhumattakaan sitten liike-elämässä, on järkyttävän kallista touhua. Eiköhän nyt vaan hoideta rikolliset vastuuseen teoistaan, Vastaamo laittaa omat purkkavirityksensä kondikseen ja katsotaan sitten miten tällaisten tapausten kohdalla tulisi toimia jatkossa.
Viimeksi muokattu:
Ei välttämättä ole ollut tiedossa. Asiakastietolaissa olevat tietojärjestelmät jaetaan kahteen luokkaan: suoraan Kanta-palveluun liitetyt järjestelmät ovat niin sanotussa A-luokassa ja kaikki muut ovat luokassa B. Vastaamo on luokassa B ja B-luokkaan kuuluvien sosiaali- ja terveydenhuollon toimijoiden asiakastietojärjestelmien tietosuojaa ei käytännössä valvota, jos mitään ongelmia ei. Yksityiskohtaisemmin:
IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset
IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset
www.verkkouutiset.fi
Vastuu on vain yrityksen, tässä tapauksessa Vastaamon. Nimistä ja rahoittajista päätellen osaamista on ollut, mutta kiinnostusta ei. Yhteistyössä Vastaamon kanssa on ollut myös suuria julkisia toimijoita, kuten HUS. Kun Vastaamo ei ollut suoraan Kantaan liitetty, valvontaa ei Valviran puolelta ole ollut. Jatkossa tämä ongelma tulee korjata.
Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa? Eikö hetun vaihtamista notkeampaa olisi vaatia vahvaa tunnistautumista about kaikkeen mihin kuvitella saattaa. Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä. Jos haluaisin tietää Iivo Niskasen hetun niin vaihtoehtojahan on vain 500 (vai onko muutama enemmän).
Sen sijaan jos netistä on saatavissa tieto, että Pekka käy terapiassa koska haluaa panna isäänsä perseeseen, niin Pekkaa saattaa alkaa ahistaa vähän enemmän kuin joku pitsatilauskälli ahdistaisi.
Sen sijaan jos netistä on saatavissa tieto, että Pekka käy terapiassa koska haluaa panna isäänsä perseeseen, niin Pekkaa saattaa alkaa ahistaa vähän enemmän kuin joku pitsatilauskälli ahdistaisi.
Viimeksi muokattu:
Vuokralainen
Jäsen
- Suosikkijoukkue
- Kerho! Arsenal
Onko Vastaamo kommentoinut vielä mitenkään suuremmin tätä tapausta?
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy